Achat de cloud par le secteur public - Manuel - Comprenant des exemples de clauses d'appels d'offres - CISPE

 
CONTINUER À LIRE
Achat de cloud par le secteur public - Manuel - Comprenant des exemples de clauses d'appels d'offres - CISPE
Achat de cloud par le secteur public

Manuel - Comprenant des exemples de clauses
             d’appels d’offres
Achat de cloud par le secteur public

Mentions légales
Ce document est fourni à titre informatif uniquement. Il n’a pas été développé conformément aux
exigences légales concernant les passations de marchés publics dans une région en particulier. Il incombe
aux clients cloud de procéder à leur propre évaluation indépendante des informations contenues dans ce
document. Chaque client est également responsable de l'usage qu'il fait des produits ou services d’un
fournisseur de cloud. Ce document ne crée pas de garanties, représentations, engagements contractuels,
conditions ni assurances.

Les exemples de clauses ne doivent pas être interprétés comme des avis ou conseils juridiques. Les clients
cloud doivent consulter leurs propres conseillers juridiques au sujet de leurs responsabilités en vertu de la
loi applicable dans le pays où ils mènent leurs opérations. CISPE décline expressément toute garantie,
responsabilité ou tout dommage associé aux ou découlant des informations fournies dans le présent
document.

                                                                                                           2
Achat de cloud par le secteur public

À propos du CISPE
CISPE (Cloud Infrastructure Services Providers in Europe, https://cispe.cloud) est une coalition industrielle
indépendante à but non lucratif. Nous représentons les fournisseurs de service d’infrastructure de cloud
en Europe et travaillons avec le secteur et les responsables politiques pour conseiller et donner des
formations sur les services de cloud et leur rôle dans le secteur, la vie publique et la société en général.

Nos membres, dont le nombre est en augmentation constante, comprennent des entreprises menant leurs
opérations dans tous les pays de l’UE et dont les sièges sociaux sont situés dans 16 pays européens.
L’association est ouverte aux entreprises à condition qu’elles déclarent qu’au moins un de leurs services
répond aux exigences du Code de conduite de protection des données du CISPE. Nous :
       Défendons les avantages des politiques de passation de marché public donnant la priorité au cloud
        dans l’UE et ses États membres
       Soutenons des exigences de sécurité et des normes techniques cohérentes à l’échelle de l’UE
       Respectons des exigences de confidentialité exhaustives avec un Code de conduite
       Œuvrons à la conservation de l’ouverture, de la compétitivité et du non-enfermement du marché
        de l’infrastructure de cloud dans l’UE
       Empêchons les obligations de supervision de contenu injustifiées dans le cadre juridique de l’UE

Nos membres fournissent et maintiennent les principaux « blocs de construction informatiques » grâce auxquels
le gouvernement, les autorités publiques et les entreprises peuvent créer leurs propres systèmes et fournir des
services essentiels à des milliards de citoyens. Dans cette optique, nous favorisons le développement de
technologies et services de pointe intégrant l’intelligence artificielle (IA), les objets connectés, les véhicules
autonomes et la 5G, ainsi que la nouvelle génération de technologie de connectivité cellulaire.

Code de conduite relatif aux services d’infrastructure de cloud
Le code de conduite CISPE a précédé l’entrée en vigueur du Règlement général sur la protection des
données (RGPD). Il s’aligne sur les exigences strictes du RGPD pour aider les fournisseurs d’infrastructure
de cloud à ainsi respecter et offrir un cadre solide, permettant aux clients de choisir des fournisseurs de
cloud et de compter sur leurs services. Plus de 100 services sont déclarés dans le Code de conduite CISPE,
fournis par plus de 30 entreprises basées dans plus de 16 États membres de l’UE et utilisés par des millions
d’utilisateurs finaux et de consommateurs. https://cispe.cloud/code-of-conduct/

CISPE et le secteur public
CISPE contribue au débat sur la politique publique européenne et œuvre pour assurer une meilleure
compréhension du rôle, de la participation et du potentiel du secteur de l’infrastructure de cloud en
Europe.
Le modèle d’achat public doit conditionner le processus d’adoption et d’utilisation du cloud computing,
mais l’acquisition de services de cloud diffère de la plupart des acquisitions de technologies traditionnelles
que connaît le secteur public. Les approches d’approvisionnement doivent être repensées : CISPE
encourage les décideurs de l’UE à développer une approche plus ambitieuse et tournée vers l’avenir à
l’échelle de l’UE, en s’appuyant sur des initiatives de politique « cloud first », qui favorisent la croissance
du marché de l’infrastructure de cloud unique en Europe et les objectifs de croissance du Marché unique
numérique (MUN) qui les sous-tendent.

Le but de ce manuel est de fournir des conseils et un support aux autorités publiques pour l’acquisition de
services de cloud.

                                                                                                                3
Achat de cloud par le secteur public

En savoir plus
Membres du CISPE : https://cispe.cloud/members
Comité exécutif : https://cispe.cloud/board-of-directors
Services de cloud computing déclarés selon le Code de conduite CISPE : https://cispe.cloud/publicregister

Table des matières
Mentions légales ........................................................................................................................................... 2
À propos du CISPE ......................................................................................................................................... 3
Table des matières ........................................................................................................................................ 4
Résumé et objectif de ce manuel .................................................................................................................. 1
1.0     Vue d’ensemble d’un accord-cadre de cloud ................................................................................... 3
2.0     Vue d’ensemble de l’AO de services de cloud .................................................................................. 7
    2.1       Mise en place de l’AO de services de cloud................................................................................... 7
        2.1.1         Introduction et objectifs stratégiques ................................................................................... 7
        2.1.2         Calendrier de réponse à l’AO............................................................................................... 10
        2.1.3         Définitions ........................................................................................................................... 11
        2.1.4         Description détaillée du modèle d’achat et de la concurrence dans l’accord-cadre ........... 12
        2.1.5         Exigences minimales pour le soumissionnaire - Administratif............................................. 16
    2.2       Technique .................................................................................................................................... 18
        2.2.1         Exigences minimales............................................................................................................ 18
        2.2.2         Comparaison entre les fournisseurs .................................................................................... 21
        2.2.3         Établissement de contrat .................................................................................................... 23
    2.3       Sécurité ....................................................................................................................................... 25
        2.3.1         Exigences minimales............................................................................................................ 25
        2.3.2         Comparaison entre les fournisseurs .................................................................................... 29
        2.3.3         Établissement de contrat .................................................................................................... 30
    2.4       Tarification .................................................................................................................................. 30
        2.4.1         Exigences minimales............................................................................................................ 31
        2.4.2         Comparaison entre les fournisseurs .................................................................................... 32
    2.5       Configuration de l’exécution du contrat/Conditions générales................................................... 35
        2.5.1         Conditions générales ........................................................................................................... 35
        2.5.2         Comment faire un choix parmi les bénéficiaires par projet ................................................ 38
        2.5.3         Intégration et départ ........................................................................................................... 38
3.0         Meilleures pratiques/Leçons apprises ............................................................................................ 38
    3.1       Gouvernance du cloud ................................................................................................................ 38
    3.2       Budgétisation pour le cloud ........................................................................................................ 39
    3.3       Comprendre le modèle commercial du partenaire ..................................................................... 41
    3.4       Courtiers de cloud ....................................................................................................................... 41
    3.5       Approvisionnement pré-AO/étude de marché ............................................................................ 42
Annexe A - Exigences techniques pour la comparaison entre les soumissionnaires ................................... 43
    1. Profil de fournisseur cloud .................................................................................................................. 43

                                                                                                                                                               4
Achat de cloud par le secteur public

   2. Infrastructure mondiale ...................................................................................................................... 43
   3. Infrastructure. ..................................................................................................................................... 44
       3.1 Calcul ............................................................................................................................................ 44
       3.2 Mise en réseau ............................................................................................................................. 47
       3.3 Stockage ....................................................................................................................................... 51
       4. Administration ................................................................................................................................ 55
       5. Sécurité ........................................................................................................................................... 56
       6. Conformité...................................................................................................................................... 58
       7. Migrations....................................................................................................................................... 64
       8. Facturation ..................................................................................................................................... 66
       9. Gestion ........................................................................................................................................... 67
       10. Support ......................................................................................................................................... 69
Annexe B - Démonstration .......................................................................................................................... 71

                                                                        v 2020 05 11

                                                                                                                                                               5
Achat de cloud par le secteur public

Résumé et objectif de ce manuel
L’objectif de ce Manuel d’achat de services de cloud est de fournir des conseils aux clients cloud qui
souhaitent acheter des services de cloud grâce à un processus d’acquisition compétitif (Appel d’offres de
services de cloud - AO), mais qui n’ont pas l’expérience nécessaire pour créer un accord-cadre de cloud.

Ce document est fourni à titre informatif uniquement. Il n’a pas été développé conformément aux
exigences légales concernant les passations de marchés publics dans une région ou un pays en particulier.

Le manuel se penche également sur les critères de sélection supplémentaires pour les contrats exécutoires
ou mini compétitions lors de l’achat d’un accord-cadre de cloud. Les sections du manuel sont organisées de
la même façon qu’un AO informatique générique. Les exemples d’AO générique et de texte de critères de
sélection sont accompagnés d’une explication aidant à comprendre pourquoi un AO de cloud est différent
d’un AO informatique traditionnel.

      « Services de cloud » désigne toutes les technologies cloud et les services associés auxquels un
            utilisateur final peut avoir besoin d’accéder. Cela inclut le consulting ou les services
  professionnels/managés nécessaires pour soutenir et exécuter la migration vers le cloud et soutenir les
     charges de travail dans le cloud, en plus de l’infrastructure de cloud elle-même et les services de
              marketplace de cloud tels que les produits Logiciels en tant que service (SaaS).

L’émergence du cloud computing en tant que choix par défaut pour l’informatique du secteur public est
l’occasion de moderniser les stratégies d’approvisionnement existantes. Les processus d’acquisition axés
sur le cloud peuvent permettre à des entités du secteur public de bénéficier de tous les avantages du cloud,
comme l’accès à une innovation de pointe, une vitesse et une capacité d'adaptation supérieures, une
sécurité et une gestion de la conformité améliorées, tout en atteignant efficacité et réduction des coûts.

Les méthodes d’approvisionnement informatique traditionnelles pour l’achat de matériel, de logiciels et de
Datacenters ne s’appliquent pas à l’achat de services de cloud. Les approches de la tarification, de la
gouvernance de contrat, des conditions générales, de la sécurité, des exigences techniques, des contrats
de niveau de service, etc. sont différentes dans un modèle de cloud. L’utilisation de méthodes
d’approvisionnement existantes réduit ou élimine les avantages fournis par le cloud.

L’un des meilleurs moyens d’acquérir efficacement des services de cloud pour le secteur public consiste à
passer par un accord-cadre de cloud, une attribution multi-organisationnelle d’un menu de clouds, à partir
duquel les acheteurs éligibles affiliés à l’organisation effectuant l’achat peuvent acquérir les technologies
cloud et les services associés répondant à leurs besoins. Véritable vecteur des contrats de cloud, les
accords-cadres permettent d’acheter efficacement des services de cloud. Les organisations effectuant
l’achat et les entités d’utilisateurs finaux ont ainsi accès à un éventail complet de services de cloud et
bénéficient de tous les avantages du cloud : adaptabilité, importantes économies à grande échelle,
évolutivité pour bénéficier d’une disponibilité supérieure à un prix inférieur, étendue des fonctionnalités,
rythme d’innovation et capacité à évoluer dans de nouveaux secteurs géographiques.

Notez que ce document se concentre sur l’achat de technologies cloud d’infrastructure en tant que service
(IaaS) et de plateforme en tant que service (PaaS), fournies par un CISP (Cloud Infrastructure Service Provider,
Fournisseur de service d’infrastructure de cloud). Ces technologies cloud peuvent être achetées directement

                                                                                                              1
Achat de cloud par le secteur public

auprès d’un CISP ou via un revendeur CISP. D’autres considérations d’AO seraient requises pour les
distributeurs de services marketplace de cloud (PaaS et SaaS) et les services de consulting relatifs au cloud.

Veuillez noter également que ce document ne couvre pas tous les aspects de la création d’un cadre
d’approvisionnement de cloud de bout en bout. De nombreux autres documents du secteur et d’analystes
couvrent des sujets tels que les bonnes pratiques d’approvisionnement cloud, la budgétisation pour le
cloud, la gouvernance du cloud, etc. Nous vous conseillons vivement de prendre en compte ces conseils et
documents lors du développement d’une stratégie d’approvisionnement de cloud globale.

Le Tableau 1 ci-dessous offre un aperçu du manuel d’AO de services de cloud et de la localisation d’un
exemple d’AO pour chaque composant d’un AO de services de cloud.
                              Tableau 1 : Sommaire des sections du manuel d’AO de services de cloud

                    Section                                        Vue d’ensemble et exemple de texte d’AO

 1.0 Vue d’ensemble d’un accord-cadre         Aperçu général du modèle d’accord-cadre de cloud (LOT, comment être compétitif
 de cloud                                     et contrat)

 2.0 Vue d’ensemble de l’AO de services       Exemple générique de texte d’AO couvrant les sections ci-dessous, et commentaire
 de cloud                                     expliquant la logique de la structure d’AO de services de cloud et le texte utilisé.

                                              2.1.1 Introduction et objectifs stratégiques
                                              2.1.2 Calendrier de réponse à l’AO
 2.1 Mise en place de l’AO de services        2.1.3 Définitions
 de cloud                                     2.1.4 Description détaillée du modèle d’achat et de la concurrence dans l’accord-
                                              cadre
                                              2.1.5 Exigences minimales pour le soumissionnaire - Administratif

                                              2.2.1 Exigences minimales
 2.2 Technique                                2.2.2 Comparaison entre les fournisseurs
                                              2.2.3 Établissement de contrat

                                              2.3.1 Exigences minimales
 2.3 Sécurité                                 2.3.2. Comparaison entre les fournisseurs
                                              2.3.3 Établissement de contrat

                                              2.4.1 Exigences minimales
 2.4 Tarification
                                              2.4.2 Comparaison entre les fournisseurs

                                              2.5.1 Conditions générales
 2.5 Configuration de l’exécution du
                                              2.5.2 Comment faire un choix parmi les bénéficiaires par projet
 contrat/Conditions générales
                                              2.5.3 Intégration et départ

                                              3.1 Gouvernance du cloud
                                              3.2 Budgétisation pour le cloud
 3.0 Meilleures pratiques/Leçons
                                              3.3 Comprendre le modèle commercial du partenaire
 apprises
                                              3.4 Courtiers de cloud
                                              3.5 Approvisionnement pré-AO/étude de marché

                                                                                                                                 2
Achat de cloud par le secteur public

                  Section                                     Vue d’ensemble et exemple de texte d’AO

 Annexe A - Exigences techniques pour la
                                           Liste d’exigences technologiques cloud génériques pour contrats exécutoires ou
 comparaison entre les
                                           mini compétitions
 soumissionnaires
                                           Exemple de script pour le produit de technologie cloud expliquant la notation
 Annexe B - Démonstration
                                           (démos cloud dans le cadre d’un contrat exécutoire ou d’une mini compétition)

1.0 Vue d’ensemble d’un accord-cadre de cloud
Un accord-cadre de cloud bien conçu peut permettre d’acheter des services de cloud de manière
avantageuse pour les organisations du secteur public et les fournisseurs de cloud participants. Les
avantages d’un accord-cadre de cloud bien conçu comprennent :

        Nature coopérative :

              o    L’association de plusieurs organisations afin de passer des commandes pour des exigences
                   similaires offre commodité, efficacité, coûts réduits et simplification du processus de
                   commande. Elle constitue un bon moyen de regrouper la demande de plusieurs
                   organisations du secteur public pour les technologies cloud communes et les services de
                   cloud associés, comme les solutions marketplace et le consulting.

        Gamme complète de services de cloud :

              o    Un     accord-cadre      de     Cloud      peut    inclure     tous     les    services   de
                   consulting/professionnels/managés nécessaires pour soutenir et exécuter entièrement la
                   migration vers le cloud et les applications associées dans le cloud, en plus des technologies
                   cloud fournies par le CISP et des solutions marketplace.

              o    Ces technologies cloud peuvent être achetées directement auprès d’un CISP ou via un
                   revendeur désigné.

        Gouvernance de contrat :

              o    Un accord-cadre de Cloud fédère des acheteurs appartenant à diverses organisations
                   autour d'un ensemble commun de conditions générales et d'un contrat principal unique,
                   plutôt que d'avoir des contrats distincts pour chaque organisation.

              o    Il profite également aux fournisseurs, car il offre une procédure d'acquisition, des
                   conditions générales et un mécanisme de commande standard, plutôt que des processus
                   propres à chaque organisation du secteur public.

              o    Il offre de la flexibilité. La création, l’approbation et l’exécution d’un contrat cloud efficace
                   dans le respect des politiques/réglementations gouvernementales existantes nécessitent
                   des essais et la capacité à s’adapter rapidement. Il est plus intéressant de créer un accord-
                   cadre favorisant la collaboration entre le secteur public et les fournisseurs de cloud en vue
                   de l’amélioration du contrat, de manière contractuelle, mécanique et efficace. Un contrat
                   sur plusieurs années qui n’est pas adapté et ne peut pas être ajusté aboutit à une mauvaise
                   expérience pour les utilisateurs finaux du secteur public, les organisations
                   d’approvisionnement et les fournisseurs de cloud.

                                                                                                                           3
Achat de cloud par le secteur public

         Choix :

              o     Un accord-cadre de Cloud permet aux acheteurs de faire leur choix parmi plusieurs CISP
                    qualifiés et place la barre haut pour tous les services de cloud et services associés, comme
                    un marché PaaS/SaaS de cloud et le consulting relatif au cloud.

              o     Il permet de contrôler le nombre de fournisseurs sur un cadre donné, veillant ainsi à ce
                    que le standard de chaque entité bénéficiaire soit correctement examiné.

Un accord-cadre pour acheter des services de cloud est plus efficace lorsqu’il inclut des technologies
IaaS/PaaS fournies par des CISP, ainsi qu’un marché PaaS/SaaS, et les services de consulting auxquels les
utilisateurs finaux du serveur public peuvent accéder, si nécessaire, pour obtenir de l’aide dans la
planification, la transition, l’utilisation et l’entretien d’une application qui s’exécute dans le cloud. Par
conséquent, nous recommandons de diviser un AO de services de cloud visant à mettre en place un accord-
cadre de cloud en trois lots, comme indiqué ci-dessous :

     LOT 1 : TECHNOLOGIES CLOUD
      Technologies cloud achetées directement auprès d’un CISP ou via un revendeur CISP désigné.

     LOT 2 : MARKETPLACE
      Accès à une marketplace de services PaaS et SaaS.

     LOT 3 : CONSULTATING RELATIF AU CLOUD
      Services de consulting liés au cloud (formation, services professionnels, services managés, etc.) et
      support technique.

      Comme indiqué précédemment, ce document se concentre sur l’achat de technologies cloud IaaS et
    PaaS (LOT 1) telles que fournies par un CISP (achetées directement auprès d’un CISP ou d’un revendeur
    CISP). Des exigences de qualification de fournisseur distinctes seraient nécessaires pour les fournisseurs
                                  des LOTS 2 et 3 d’un AO de services de cloud.

L’image 1 ci-dessous présente une vue générale de la façon dont un AO de services de cloud bien structuré,
divisé entre ces trois lots, peut mener à un accord-cadre de cloud fournissant aux entités du secteur public
de l’adaptabilité (à la fois technique et contractuelle), de la visibilité et un contrôle des dépenses et de
l’utilisation cloud, ainsi que la possibilité de bénéficier de tous les services cloud nécessaires à la création
et au maintien des solutions dont elles ont besoin.

                                                                                                                 4
Achat de cloud par le secteur public

   Image 1 : un AO de services de cloud réussi se divise en trois lots. Chaque lot contient des catégories ou « types
   d’offres » sous le lot correspondant, visant à assurer l’adéquation technique et contractuelle pour répondre aux
                         exigences de l’utilisateur final lors de l’achat de l’accord-cadre de cloud.

Notez que :

       Chaque lot contient plusieurs attributions.
       Le LOT 3 peut être attribué via un autre AO ou via un contrat existant pour des services de
        consulting.

Catégories du LOT 1
Les accords-cadres de cloud réussis demandent aux CISP de décrire le modèle de cloud qu’ils proposent,
divisé en catégories sous chaque lot. Nous recommandons l’utilisation du standard du secteur pour le cloud
computing (les caractéristiques cloud essentielles du National Institute of Standards and Technology (NIST))
en ce qui concerne les définitions de cloud public, du cloud communautaire et du cloud privé. Une telle
structure d’accord-cadre de cloud permet à l’agence effectuant l’achat et aux organismes publics utilisant
le cadre de faire leur choix parmi différents modèles de cloud adaptés à leurs besoins.

Consultez la Section 2.1.3 Définitions pour accéder à la définition du NIST de chaque modèle de cloud sous
le LOT 1 (IaaS/PaaS public, IaaS/PaaS communautaire et IaaS/PaaS privé).

Comment être compétitif : contrats exécutoires ou mini compétitions ?
Les critères de qualification pour un AO de services de cloud doivent couvrir des éléments essentiels et des
standards minimaux, et ne doivent pas inclure des standards « qu’il serait bon d’avoir ». En cas d’ajout de

                                                                                                                        5
Achat de cloud par le secteur public

standards supplémentaires dépassant la référence des fournisseurs qualifiés pour le cadre, certains
fournisseurs peuvent se retrouver dans l’incapacité de faire une offre. Cette situation peut mener à une
limitation du choix pour les acheteurs.

Suite à l’AO et à la mise en place de l’accord-cadre de cloud, les organismes du secteur public bénéficiaires
peuvent commander ou annuler les services de cloud lorsqu’ils en ont besoin. La conclusion d’un contrat
exécutoire en vertu d’un accord-cadre permet aux acheteurs d’affiner leurs exigences en ajoutant des
spécifications fonctionnelles pour une annulation, tout en conservant les avantages offerts par l’accord-
cadre.

Si nécessaire, une mini compétition peut être organisée afin d’identifier le meilleur fournisseur pour une
application ou un projet en particulier. Au cours d’une mini compétition, un client ouvre la compétition en
vertu de l’accord-cadre et invite tous les fournisseurs d’un lot à répondre à un ensemble d’exigences. Le
client invitera tous les fournisseurs aptes dans le lot à faire une offre, ce qui souligne l’importance des
exigences minimales pour les bénéficiaires d’un AO de services de cloud : elles garantissent un grand
nombre d’options pour chaque lot.

   Notez qu’il est important de disposer d’ensembles distincts de conditions générales de contrat pour
 chacun des lots répertoriés dans l’image 1 ci-dessus. Une approche unique pour les contrats de tous les
           lots créerait des problèmes en termes de compatibilité et de faisabilité technique.

                                                                                                           6
Achat de cloud par le secteur public

2.0 Vue d’ensemble de l’AO de services de cloud
Cette section décrit le modèle et la portée de l’AO de services de cloud, comprenant les objectifs
stratégiques, les participants, les définitions, le calendrier et les exigences administratives minimales. Notez
à nouveau que ce manuel se concentre sur le LOT 1 : TECHNOLOGIES CLOUD.

     2.1        Mise en place de l’AO de services de cloud
Nous recommandons vivement aux entités du secteur public de clarifier leurs objectifs et exigences de haut
niveau dans l’Introduction d’un AO de services de cloud.

           2.1.1      Introduction et objectifs stratégiques
Pour plus de clarté en termes d’objectifs stratégiques, une bonne pratique consiste à exposer dans
l’introduction d’un AO de services de cloud : (1) les objectifs et avantages commerciaux que l’organisation
souhaite atteindre en utilisant le cloud ; (2) la structure de l’accord-cadre : qui achète, qui exploite, qui
définit le budget, etc. ; (3) une explication claire du modèle de responsabilité partagée entre le secteur
public et les fournisseurs de cloud, essentielle à la réussite de l’achat et de l’utilisation du cloud ; et (4) le
type de relation créée entre les fournisseurs de service de cloud (CISP), les distributeurs des services de
marché, les partenaires de consulting, les agences d’approvisionnement gouvernementales, et les
utilisateurs finaux du gouvernement. L’articulation de ces quatre points aide les organisations à bâtir un AO
qui répond pour le mieux à leurs besoins, en plus de veiller à ce que les clients comme les fournisseurs
comprennent bien les objectifs de l’AO.

    Un AO de cloud est volontairement différent des AO informatiques traditionnels. La technologie cloud
    ne remplace pas à l’identique les méthodes de calcul traditionnelles. Elle introduit une toute nouvelle
     façon d’utiliser la technologie. Les AO de services de cloud bien conçus peuvent aider les entités du
                          secteur public à évoluer rapidement pour tirer parti du cloud.

Parmi tous les aspects d’achat de cloud que nous citons en tant que bonnes pratiques, le meilleur point de
départ est probablement une bonne compréhension du modèle de responsabilité partagée. Le modèle de
responsabilité partagée1 est surtout utilisé pour ce qui a trait à la sécurité et à la conformité dans le cloud,
mais cette définition des responsabilités s'applique à tous les aspects des technologies cloud. Un AO de
services de cloud doit définir clairement ce qui fait partie des attributions d'un CISP dans un environnement
cloud et ce qui relève de la responsabilité du client. Par exemple, un CISP fournit des fonctionnalités de
supervision des ressources et applications qui s’exécutent dans le cloud, mais la responsabilité d’utiliser ces
fonctionnalités fournies par le CISP revient au client. En effet, un CISP agissant à grande échelle n’est pas
censé faire cela pour des millions de clients.

De plus, les clients cloud doivent comprendre comment le réseau de partenaires d’un CISP permet aux
clients d’utiliser le cloud et de gérer leurs responsabilités. Par exemple, un fournisseur de service managé
(MSP, Managed Service Provider) cloud peut aider un client à configurer et utiliser des fonctionnalités de
supervision fournies par un CISP, afin de répondre à leurs exigences uniques de conformité et d’audit.

1
  Consultez la Section 5 du Code de conduite pour les fournisseurs de services d’infrastructure de cloud : https://cispe.cloud/website_cispe/wp-
content/uploads/2017/06/Code-of-Conduct-27-January-2017-corrected-march-20.pdf

                                                                                                                                              7
Achat de cloud par le secteur public

En d'autres termes, les responsabilités au sein du modèle de cloud sont les suivantes :

                                      Un CISP fournit une technologie cloud

                                       Un client utilise la technologie cloud

    Les entreprises de consulting (le cas échéant) aident un client à accéder à la technologie cloud et à
                                                  l’utiliser

            Les « entreprises de consulting » sont des entreprises de consulting et de services
  managés/professionnels qui aident les clients à concevoir, bâtir, créer, procéder à la migration et gérer
   leurs charges de travail et applications dans le cloud. Ces entreprises comprennent les intégrateurs
   système, les entreprises consulting stratégique, les agences, les fournisseurs de services gérés et les
                                        revendeurs à valeur ajoutée.

Considérez l’achat de services de cloud comme l’achat dans un magasin de bricolage. Les magasins de
bricolage
 .
          proposent un vaste ensemble de matériaux et d’outils pour créer ce dont vous avez besoin. Vous
pouvez fabriquer une armoire ou une piscine, ou même toute une maison, si vous le souhaitez. Lorsque
vous achetez des matériaux et des outils, l’équipe du magasin de bricolage peut vous donner des conseils
et vous faire profiter de son savoir-faire, mais elle ne peut pas venir chez vous et créer quelque chose pour
vous. Plusieurs options s’offrent alors à vous :

    1. Acheter les matériaux et outils vous-même et fabriquer quelque chose.

    2. Acheter les matériaux et outils vous-même et engager quelqu’un qui fabriquera et/ou utilisera
       quelque chose pour vous.

    3. Engager quelqu’un qui fabriquera/utilisera quelque chose pour vous, et lui demander de fournir
       les matériaux et outils nécessaires dans le cadre de son offre globale.

Si une organisation possède les compétences internes pour créer et gérer elle-même son environnement
cloud et ses solutions, elle n’a besoin que de l’accès aux technologies et outils cloud standardisés du CISP
(directement auprès d’un CISP ou via un revendeur CISP ; voir LOT 1). Les logiciels SaaS et PaaS nécessaires
doivent être disponibles sur une marketplace cloud (LOT 2). Si une aide supplémentaire en consulting,
migration, implémentation et/ou gestion est nécessaire, le réseau de partenaires d’un CISP entre en jeu
(LOT 3).

Exemple de texte d’AO : introduction et objectifs stratégiques

Le cloud computing offre aux organisations du secteur public un accès rapide à une large gamme de ressources
informatiques flexibles et économiques, avec paiement en fonction de l’utilisation réelle. Les organisations peuvent
fournir le type et la taille des ressources adaptés dont ils ont besoin pour alimenter leurs nouvelles idées ou exploiter
leurs services informatiques. Les investissements importants dans le matériel et/ou les contrats de licence logicielle à
long terme ne sont plus nécessaires.

L’ formule l’exigence de pouvoir accéder à ces types de technologies cloud commercialement
disponibles afin de pouvoir répondre à ses besoins commerciaux dans un large éventail d’organisations affiliées.

                                                                                                                       8
Achat de cloud par le secteur public

Le principal objectif du présent AO est d’attribuer un  parallèle non exclusif avec jusqu’à
 fournisseurs représentant différentes technologies cloud, ainsi que des services liés au cloud.

    1.   LOT 1. Fournisseurs de services cloud (CISP) ou revendeurs CISP pour l’achat de technologies cloud

    2.   LOT 2. Fournisseurs de services de marketplace.

    3.   LOT 3. Fournisseurs de services de consulting pour apporter leur expertise supplémentaire dans la migration
         vers ces offres CISP et leur utilisation

Concernant le LOT 1, les organisations offrantes (CISP ou revendeurs CISP) doivent expliquer comment leur offre répond
à ces objectifs :

        Adaptabilité : mettre les ressources informatiques à la disposition des utilisateurs finaux en quelques minutes
         au lieu des délais traditionnels de plusieurs semaines ou mois.

        Innovation : bénéficier d’un accès instantané aux technologies les plus récentes et innovantes sur le marché.

        Coût : remplacer les dépenses de capital par des dépenses variables (par ex. CapEx contre OpEx). Ne payer
         que ce qui est consommé.

        Budgétisation : consulter les informations de facturation et d’utilisation au niveau granulaire etau niveau
         global, en visualisant les schémas de dépenses au fil du temps, en plus de prévoir les dépenses futures.

        Souplesse : bénéficier de coûts variables réduits grâce à des économies d’échelle supérieures fournies par le
         cloud.

        Capacité : éliminer les hypothèses en termes de besoins de capacité d’infrastructure.

        Cesser de s’appuyer sur les Datacenters : se concentrer sur l’activité de nos citoyens et non sur les tâches
         fastidieuses et à faible valeur ajoutée consistant à racker, à stocker et à alimenter des serveurs.

        Sécurité : formaliser la conception de compte avec une visibilité et une auditabilité supérieures des ressources,
         et éliminer le coût de protection des sites et du matériel physique.

        Responsabilité partagée : soulager la charge opérationnelle car le CISP exploite, gère et contrôle les
         composants depuis le système d'exploitation hôte jusqu'à la sécurité physique des installations dans lesquelles
         les services sont exploités, en passant par la couche de virtualisation.

        Automatisation : intégrer l’automatisation dans l’architecture de cloud pour améliorer la capacité à évoluer
         en toute sécurité, de manière plus rapide et économique.

        Gouvernance cloud : (1) commencer par un inventaire complet de toutes les ressources informatiques ; (2)
         gérer toutes ces ressources de manière centralisée ; et (3) créer des alertes sur l’utilisation/la facturation/la
         sécurité/etc., avec des fonctionnalités pour le suivi des ressources, la gestion des stocks, la gestion des
         modifications, la gestion et l’analyse des journaux, ainsi que la visibilité globale et la gouvernance cloud.

        Contrôle : bénéficier d’une visibilité complète sur la consommation des services informatiques et sur leur
         adaptation en termes de sécurité, de fiabilité, de performances et de coûts.

        Réversibilité : outils et services de portabilité pour aider à migrer vers et depuis l’infrastructure du CISP, en
         minimisant la dépendance au fournisseur et dans le respect du ou des codes de conduite du secteur.

                                                                                                                        9
Achat de cloud par le secteur public

        Protection des données : capacité à démontrer la conformité au Règlement général sur la protection des
         données (RGPD), via un code de conduite de secteur dédié pour les services d’infrastructure de cloud : le Code
         de conduite de protection des données du CISPE.

        Transparence : les clients doivent être autorisés à connaître la localisation des infrastructures utilisées pour
         traiter et stocker leurs données (quartier).

         2.1.2     Calendrier de réponse à l’AO
La bonne pratique consiste à fournir aux soumissionnaires un calendrier de l’activité d’offre prévue lors de
la création d’un accord-cadre de cloud et de l’AO de services de cloud associé. Il est préférable de s’engager
fortement avec le secteur, car toutes les parties pourront ainsi clairement comprendre les exigences de
l’AO et la manière dont tous les services de fournisseurs s’adaptent au modèle de services de cloud.

Notez que le calendrier de l’AO est soumis aux lois locales et aux obligations légales. La liste fournie ci-
dessous est conçue pour être un guide de bonnes pratiques, par opposition à une liste normative d’activités
et de délais.

Exemple de texte d’AO : délai de réponse

Consultez le calendrier ci-dessous pour l’AO de services de cloud :

                                                 Calendrier de l’AO de services de cloud

                Publication de la demande d’informations (RFI, Request for Information) :
                Réponse à l’AO :
                Publication de la version préliminaire de l’appel d’offres (AO) :
                Date d’échéance de la version préliminaire de la réponse à l’AO :
                Phase de consultation du secteur : 
                Publication AO préqualification :
                Réponse AO préqualification :
                Publication AO :
                Date d’échéance des questions du 1er tour :
                Réponses du 1er tour :
                Date d’échéance des questions du 2e tour :
                Réponses du 2e tour :
                Date d’échéance de la réponse à l’AO :
                Période de clarification de l’offre :
                Période de négociation
                Date d’intention d’attribution :
                Attribution de contrat :
                Durée du contrat (options de prolongation) :

Notez que le calendrier de l’AO est soumis aux lois locales et aux obligations légales. La liste fournie ci-
dessous est conçue pour être un guide de bonnes pratiques, par opposition à une liste normative d’activités
et de délais.

                                                                                                                      10
Achat de cloud par le secteur public

           2.1.3    Définitions
Un AO de services de cloud doit inclure une liste détaillée de définitions. Cette liste inclut les rôles du
fournisseur (par ex., fournisseur de service de cloud, revendeur cloud, partenaire fournisseur), les concepts
technologiques généraux (serveur / instance, stockage, IaaS/PaaS, SaaS) et les autres éléments essentiels
de l’accord. Vous trouverez ci-dessous un exemple de liste de définitions :

Exemple de texte d’AO : définitions

Les définitions ci-dessous sont les définitions du cloud computing du National Institute of Standards and Technology
(NIST).2

       -   Infrastructure en tant que service (IaaS). La fonctionnalité fournie au consommateur est d’apporter des
           capacités de mise en service, de traitement, de stockage, de réseaux et d'autres ressources de calcul
           fondamentales permettant au consommateur de déployer et d'exécuter des logiciels de son choix, ce qui peut
           inclure des systèmes d'exploitation et des applications. Le consommateur ne s’occupe pas de la gestion et du
           contrôle de l’infrastructure de cloud sous-jacente, mais exerce un contrôle sur les systèmes d’exploitation, le
           stockage et les applications déployées, et éventuellement un contrôle limité sur certains composants de mise
           en réseau (par ex., pare-feu hôte).

       -   Plateforme en tant que service (PaaS). Le client bénéficie de la capacité à déployer sur l’infrastructure de cloud
           des applications créées ou acquises par le consommateur, créées à l’aide de langages de programmation, de
           bibliothèques, de services et d’outils pris en charge par le fournisseur. Le consommateur ne s’occupe pas de
           la gestion et du contrôle de l’infrastructure de cloud sous-jacente, comprenant le réseau, les serveurs, les
           systèmes d’exploitation ou le stockage, mais contrôle les applications déployées et éventuellement les
           paramètres de configuration pour l’environnement d’hébergement d’application.

       -   Logiciel en tant que service (SaaS). Le client a la capacité d’utiliser les applications du fournisseur s’exécutant
           sur une infrastructure de cloud. Les applications sont accessibles à partir de différents appareils de client grâce
           à une interface client léger, comme un navigateur Web (par ex., courriel accessible sur le Web) ou une
           interface de programme. Le consommateur ne s’occupe pas de la gestion et du contrôle de l’infrastructure de
           cloud sous-jacente comprenant le réseau, les serveurs, les systèmes d’exploitation, le stockage, ou même les
           fonctionnalités d’application individuelles, à l’exception peut-être des paramètres limités de configuration
           d’application spécifiques à l’utilisateur.

       -   Cloud public. L’infrastructure de cloud est mise à disposition pour une utilisation ouverte par le grand public.
           Elle peut être détenue, gérée et exploitée par une organisation commerciale, académique ou
           gouvernementale, ou plusieurs organisations de ces types. Elle existe sur le site du fournisseur de cloud.

       -   Cloud communautaire. L’infrastructure de cloud est mise à disposition pour une utilisation exclusive par une
           communauté spécifique de consommateurs provenant d’organisations partageant les mêmes inquiétudes
           (par ex., mission, exigences de sécurité, politique et considérations en matière de conformité). Elle peut être
           détenue, gérée et exploitée par une ou plusieurs organisations de la communauté, un tiers ou plusieurs
           organisations et tiers, et peut exister sur site ou hors site.

       -   Cloud hybride. L’infrastructure de cloud est composée de deux infrastructures de cloud distinctes ou plus
           (privé, communautaire, ou public) qui restent des entités uniques, mais sont associées par une technologie
           normalisée ou propriétaire qui permet la portabilité des données et des applications (par ex., « cloud
           bursting » pour l’équilibrage de charge entre les clouds).

2
    https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf

                                                                                                                           11
Achat de cloud par le secteur public

    -   Cloud privé. L’infrastructure de cloud est mise à disposition pour un usage exclusif par une seule organisation
        comprenant plusieurs consommateurs (par ex., unités commerciales). Elle peut être détenue, gérée et
        exploitée par l’organisation, un tiers ou plusieurs organisations et tiers, et peut exister sur site ou hors site.

        2.1.4    Description détaillée du modèle d’achat et de la concurrence dans l’accord-cadre
Comme indiqué ci-dessus, les organisations du secteur public doivent identifier le modèle de
fonctionnement d’un accord-cadre en tant que mécanisme d’achat pour les technologies cloud, et les
services associés de mise en œuvre et de gestion. Ce point doit être clarifié dans l’AO de services de cloud,
afin que les fournisseurs de technologie cloud, les organisations de services de consulting, les distributeurs
marketplace et les entités acheteuses comprennent leurs rôles respectifs.

Concernant la portée de l’accord-cadre, et conformément aux contrats exécutoires ou mini compétitions,
les organisations doivent tenir compte des points suivants :

       Qui sera responsable de l’intégration et des services managés impliquant l’utilisation des
        technologies cloud en vertu du contrat.

       Est-il nécessaire qu’un revendeur/partenaire CISP fournisse des services à valeur ajoutée, autres
        que le maintien d’une relation contractuelle avec le CISP, fournissant des services de facturation
        consolidés et un accès direct et en temps voulu aux données d’utilisation et de facturation
        associées à l’utilisation des services de fournisseur de cloud ?

       Est-il nécessaire de faire appel à un revendeur à valeur ajoutée offrant des services complets, à un
        intégrateur système ou à un fournisseur de services managés, ou à toute forme de services de
        main-d’œuvre informatiques ?

Il est important de noter qu’un CISP n’est pas un intégrateur de système (SI, Systems Integrator) ni un
fournisseur de service managé (MSP, Managed Service Provider). De nombreux clients du secteur public
auront besoin d’un CISP pour leur IaaS/PaaS, et délègueront le consulting et la planification, la migration et
la gestion informatiques à un SI ou MSP. L’image 2 ci-dessous décrit les rôles et responsabilités dans un
modèle de services de cloud.

                                                                                                                       12
Achat de cloud par le secteur public

Image 2 : un AO de services de cloud doit fournir aux utilisateurs finaux un menu de tous les services de cloud dont ils
ont besoin. Les clients du secteur public auront besoin d’un CISP pour les technologies cloud, d’une marketplace pour
les produits PaaS et SaaS si besoin, puis le client pourra déterminer l’importance du rôle qu’il veut jouer dans l’apport
 de services de cloud et la part qu’il souhaite déléguer à une entreprise de consultation/un intégrateur systèmes/un
                                          fournisseur de services managés/etc.

L’exemple de texte ci-dessous s’appuie sur les rôles et responsabilités indiqués dans l’image 2 ci-dessus.
Un accord-cadre de cloud et l’AO de services de cloud associé, doivent veiller à ce que les acheteurs
puissent évaluer de manière adéquate les offres de chaque fournisseur, ce qui leur permettra ensuite de
faire leur choix parmi les services requis pour l’application/le projet. La meilleure façon de procéder
consiste à séparer les services en lots, comme indiqué précédemment, et à déterminer clairement
comment sont menés les contrats exécutoires et les mini compétitions en vertu de l’accord-cadre.

Exemple de texte d’AO : modèle d’achat

Ce contrat servira de vecteur d’achat pour le Cadre. Cet accord-cadre de cloud comprendra plusieurs lots tels que
définis par l’, pour les technologies cloud et les services/produits de marketplace associés, les services
de consulting, les services professionnels/l’intégration système/les services managés/les services de migration
professionnelle, la formation et le support, tels que définis par l’, et sera utilisé par plusieurs
acheteurs éligibles affiliés à l’. Cela simplifiera le processus d’acquisition tout en optimisant les
économies d’échelle.

Une fois établi, cet accord-cadre permet à une organisation d’acheter les technologies cloud spécifiques et les services
liés au cloud souhaités au moment de leur choix, par opposition à l’achat via des approvisionnements distincts. Ce type
d’approche réduit les exigences administratives et diminue fortement la complexité et la durée du cycle
d’approvisionnement.

La durée de l’accord-cadre sera au maximum de  années, renouvellements inclus. La durée maximale d’un contrat
exécutoire de cadre est généralement de  mois ; cette durée peut être prolongée de  mois, puis à nouveau de

                                                                                                                      13
Vous pouvez aussi lire